Impegni di Microsoft relativi al GDPR nei confronti dei Clienti che usano prodotti software aziendali Microsoft disponibili a livello generale
Introduzione
Il Regolamento generale sulla protezione dei dati (GDPR) dell'Unione europea stabilisce un importante standard a livello globale per i diritti alla privacy, la sicurezza delle informazioni e la conformità. In Microsoft, la privacy è considerata un diritto fondamentale e il GDPR costituisce un passo importante verso la protezione e l'applicazione dei diritti alla privacy delle persone.
Microsoft si impegna ad aderire al GDPR, nonché a offrire una varietà di prodotti, funzionalità, documenti e risorse per assistere i suoi clienti a rispettare gli obblighi di conformità imposti dal GDPR. Segue una descrizione degli impegni contrattuali di Microsoft verso i propri clienti riguardo ai dati personali raccolti dai software aziendali (per quanto riguarda il software concesso in licenza dai programmi Microsoft Commercial Licensing, fare riferimento direttamente all'Addendum relativo alla Protezione dei Dati Personali (DPA) all'indirizzo http://aka.ms/dpa)).
Microsoft si impegna nei confronti dei suoi clienti relativamente al GDPR?
Sì. Il GDPR richiede che i titolari del trattamento (come le organizzazioni e gli sviluppatori che usano i servizi online aziendali di Microsoft) si avvalgano soltanto di responsabili del trattamento (come Microsoft) che trattano i dati personali per conto del titolare del trattamento e offrono sufficienti garanzie volte a soddisfare i requisiti chiave del GDPR. Microsoft garantisce questi impegni a tutti i clienti dei programmi Microsoft Commerical Licensing attraverso il DPA. I clienti di altri software aziendali disponibili a livello generale e concessi in licenza da Microsoft o dalle sue consociate godono altresì dei benefici derivanti dagli impegni relativi al GDPR di Microsoft, come descritto nella presente comunicazione, nella misura in cui il software tratta dati personali.
Dove è possibile trovare gli impegni contrattuali di Microsoft in materia di GDPR?
Gli impegni contrattuali assunti da Microsoft riguardo al GDPR (Condizioni GDPR) si trovano nell'allegato del DPA intitolato "Condizioni del Regolamento generale sulla protezione dei dati dell'Unione europea". Ai sensi di tali condizioni, Microsoft si impegna a rispettare le richieste dei responsabili del trattamento previste dall'Articolo 28 e da altri articoli del GDPR.
Microsoft estende le Condizioni del GDPR a tutti i clienti dei prodotti software aziendali disponibili a livello generale e concessi in licenza da Microsoft o dalle sue consociate ai sensi delle condizioni di licenza del software Microsoft, in vigore dal 25 maggio 2018, indipendentemente dalla versione applicabile del software aziendale, nella misura in cui Microsoft è un responsabile o sottoresponsabile del trattamento dei dati personali connessi al software e per tutto il tempo in cui Microsoft continua a offrire o supportare la versione. I dettagli relativi all'assistenza si trovano nella Politica del ciclo di vita Microsoft su https://support.microsoft.com/lifecycle.
A fini di chiarezza, potrebbero applicarsi impegni diversi o inferiori per le versioni beta o in anteprima dei software, per software sottoposti a modifica sostanziale o software concessi in licenza da Microsoft o dalle consociate che non sono a disposizione del pubblico generale o altrimenti concessi in licenza in virtù delle condizioni di licenza software di Microsoft. Alcuni prodotti possono raccogliere e inviare alla telemetria Microsoft altri dati secondo le impostazioni predefinite; la documentazione dei prodotti presenta informazioni e istruzioni per disattivare o configurare tale raccolta telemetrica.
Quali impegni sono inclusi nelle Condizioni del GDPR?
Le condizioni del GDPR di Microsoft riflettono gli impegni previsti dall'Articolo 28 del GDPR per i responsabili del trattamento. L'Articolo 28 richiede che i responsabili del trattamento si impegnino a:
- usare soltanto sottoresponsabili del trattamento provvisti dell'autorizzazione del titolare del trattamento e continuare a rispondere per gli stessi;
- trattare i dati personali soltanto su indicazione del titolare del trattamento, anche con riguardo ai trasferimenti;
- garantire che i soggetti che trattano i dati personali siano vincolati alla riservatezza;
- attuare misure tecniche e organizzative adeguate a garantire un livello di sicurezza dei dati personali appropriato al rischio;
- assistere il titolare del trattamento nei suoi obblighi di rispondere agli interessati che chiedono di esercitare i propri diritti derivanti dal GDPR;
- soddisfare i requisiti di notifica delle violazioni e assistenza previsti dal GDPR;
- assistere il titolare del trattamento nelle valutazioni di impatto della protezione dei dati personali e nella consultazione con le autorità di controllo;
- rimuovere o restituire i dati personali al termine dell'erogazione dei servizi; e
- assistere il titolare del trattamento con le prove di conformità al GDPR.